Was ist Berechtigungseskalation?

17. März 2025

Autoren

Gregg Lindemulder

Staff Writer

Matthew Kosinski

Enterprise Technology Writer

Was ist die Berechtigungseskalation?

Die Berechtigungseskalation ist eine Technik von Cyberangriffen, bei der ein Bedrohungsakteur seine Berechtigungen in einem Zielsystem ändert oder erweitert, z. B. indem er von einem Basisbenutzerkonto mit geringeren Berechtigungen zu einem Administratorkonto mit einer höheren Ebene wechselt. 

Account-Hijacking ist eine der häufigsten Methoden, mit denen sich Hacker unbefugten Zugriff auf Zielsysteme verschaffen. Laut dem IBM X-Force Threat Intelligence Index verwenden 30 % der Cyberangriffe gestohlene Konten, um in ein System einzudringen. Angreifer haben es in der Regel auf Low-Level-Konten abgesehen, da diese einfacher zu kapern sind als gut geschützte Administratorkonten.

Nachdem sich ein Angreifer Zugang verschafft hat, kann er Schwachstellen im System ausnutzen und Techniken wie Social Engineering anwenden, um seine Berechtigungen zu erweitern. Mit höheren Privilegien ausgestattet, können Angreifer leichter bösartige Aktivitäten wie den Diebstahl sensibler Daten, die Installation von Ransomware oder die Störung von Systemen durchführen. 

Mann schaut auf Computer

Verstärken Sie Ihre Sicherheitsintelligenz 


Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten. 


So funktioniert die Berechtigungseskalation

Hacker, die Angriffe zur Berechtigungseskalation durchführen, verschaffen sich zunächst Zugang zu einem niedrigeren Benutzer- oder Gastkonto. Sobald sie sich im System befinden, nutzen sie Schwachstellen und Lücken in der Cybersicherheitsabwehr aus, um ihre Berechtigungen zu erweitern.

Bedrohungsakteure beginnen mit Konten auf niedrigerem Niveau, da diese leichter zu kapern sind. Es gibt mehr Konten mit niedriger Ebene als berechtigte Benutzerkonten, was bedeutet, dass die Angriffsfläche insgesamt größer ist. Konten mit niedriger Ebene haben tendenziell auch weniger Sicherheitskontrollen. Hacker übernehmen diese Low-Level-Konten durch Techniken wie den Diebstahl von Zugangsdaten und Phishing.

Low-Level-Accounts öffnen Hackern die Tür, aber wenn sie erst einmal drin sind, können sie nicht mehr viel tun. Unternehmen beschränken die Berechtigungen dieser Konten absichtlich, damit sie nicht auf sensible Daten zugreifen oder mit kritischen Assets interagieren können.

Angreifer suchen daher nach Möglichkeiten, sich von innerhalb des Systems privilegierten Zugriff zu verschaffen.

Im Großen und Ganzen haben sie zwei Möglichkeiten, dies zu tun: Sie können entweder die Berechtigungen des Kontos erhöhen, das sie gestohlen haben, oder das Konto eines berechtigten Benutzers, wie z. B. eines Systemadministrators, kapern. Mit berechtigtem Zugriff können Angreifer mit Anwendungen, Datenbanken und anderen Ressourcen interagieren, die möglicherweise vertrauliche Informationen enthalten.

Hacker können über lange Zeiträume im System verborgen bleiben, während sie Aufklärungsarbeit leisten und nach Möglichkeiten suchen, ihre Privilegien zu erweitern. Während dieser Zeit installieren sie möglicherweise Hintertüren, die es ihnen ermöglichen, erneut in das Netzwerk einzudringen, wenn sie erkannt werden.

Mixture of Experts | 25. April, Folge 52

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.

Arten der Berechtigungseskalation

Wenn Hacker das Netzwerk erkunden, können sie sich horizontal oder vertikal verschieben.

Horizontale Berechtigungseskalation

Horizontale Berechtigungseskalation wird auch als laterale Bewegung bezeichnet, wenn ein Angreifer auf ein Konto mit ähnlichen Berechtigungen zugreift. Obwohl sie keine neuen Berechtigungen erhalten, können Hacker durch die horizontale Verschiebung ihre Reichweite vergrößern, um mehr Informationen zu sammeln und mehr Schaden anzurichten.

So könnte ein Hacker beispielsweise die Kontrolle über mehrere Benutzerkonten in einer Banking-Webanwendung übernehmen. Diese Konten erhöhen möglicherweise nicht die Berechtigungen des Angreifers im System, ermöglichen es dem Angreifer jedoch, auf die Bankkonten mehrerer Benutzer zuzugreifen. 

Vertikale Berechtigungseskalation

Die vertikale Berechtigungseskalation, die auch als Berechtigungserhöhung bezeichnet wird, ist die Verschiebung von niedrigeren zu höheren Berechtigungen, häufig durch Verschiebung von einem einfachen Benutzerkonto zu einem Konto mit Administratorrechten. 

Hacker können auch eine vertikale Berechtigungseskalation durchführen, indem sie Systemfehler und Fehlkonfigurationen ausnutzen, um die Berechtigungen des Kontos, das sie bereits besitzen, zu erhöhen.

Für viele Angreifer besteht das Ziel der vertikalen Berechtigungseskalation darin, Root-Berechtigungen zu erlangen. Ein Root-Konto hat praktisch unbegrenzten Zugriff auf alle Programme, Dateien und Ressourcen eines Systems. Hacker können diese Berechtigungen nutzen, um Systemeinstellungen zu ändern, Befehle auszuführen, Malware zu installieren und die vollständige Kontrolle über Netzwerkassets zu übernehmen.

Techniken der Berechtigungseskalation

Zu den typischen Angriffsvektoren in Bezug auf die Eskalation von Berechtigungen gehören:

  • Kompromittierte Anmeldedaten
  • Ausnutzung von Schwachstellen
  • Fehlkonfigurationen
  • Malware
  • Social Engineering
  • Betriebssystem-Exploits

Kompromittierte Anmeldeinformationen

Die Verwendung von gestohlenen oder kompromittierten Anmeldedaten ist eine der häufigsten Techniken zur Eskalation von Berechtigungen. Es ist auch die einfachste Methode, um sich unbefugt Zugang zu einem Konto zu verschaffen.

Hacker können durch Phishing, Datenschutzverletzungen oder Brute-Force-Angriffe, bei denen sie versuchen, die Benutzernamen und Passwörter legitimer Konten zu erraten, Anmeldedaten erhalten.

Ausnutzung von Schwachstellen

Hacker nutzen häufig Software-Schwachstellen, wie z. B. ungepatchte Mängel oder Programmierfehler, um die Kontoberechtigungen zu erweitern.

Eine gängige Technik ist eine Pufferüberlauf-Attacke. Hier sendet der Angreifer mehr Daten an einen Speicherblock, als ein Programm verarbeiten kann. Das Programm reagiert darauf, indem es benachbarte Speicherblöcke überschreibt, was die Funktionsweise des Programms verändern kann. Hacker können dies ausnutzen, um bösartigen Code in das Programm einzuschleusen.

Zum Zweck der Berechtigungseskalation können Angreifer Pufferüberlaufangriffe nutzen, um Remote-Shells zu öffnen, die ihnen die gleichen Berechtigungen wie der angegriffenen Anwendung gewähren.

Fehlkonfigurationen 

Fehlkonfigurationen von Berechtigungen, Diensten oder Betriebssystemeinstellungen können Hackern viele Möglichkeiten bieten, Sicherheitsmaßnahmen zu umgehen.

Eine falsch konfigurierte Lösung für Identity und Access Management (IAM) kann Benutzern beispielsweise mehr Berechtigungen geben, als für ihre Konten erforderlich sind. Eine sensible Datenbank, die versehentlich der Öffentlichkeit zugänglich gemacht wird, wäre ein gefundenes Fressen für Hacker. 

Malware

Hacker können ihren anfänglichen Systemzugriff nutzen, um bösartige Payloads abzulegen, die Hintertüren installieren, Tastenanschläge protokollieren und andere Benutzer ausspionieren. Hacker nutzen dann die Funktionen der Malware, um Zugangsdaten abzurufen und auf Administratorkonten zuzugreifen.

Social Engineering

Hacker nutzen Social Engineering, um Menschen dazu zu bringen, Informationen zu teilen, die sie nicht teilen sollten, Malware herunterzuladen oder bösartige Websites zu besuchen.

Social Engineering ist eine gängige Technik bei Angriffen zur Berechtigungseskalation. Angreifer verschaffen sich häufig anfänglichen Zugriff, indem sie Social Engineering nutzen, um Zugangsdaten von Konten mit niedriger Stufe zu stehlen. Innerhalb des Netzwerks nutzen Hacker Social Engineering, um andere Benutzer dazu zu verleiten, ihre Anmeldedaten weiterzugeben oder Zugriff auf vertrauliche Assets zu gewähren.

So könnte ein Angreifer beispielsweise ein gekapertes Mitarbeiterkonto verwenden, um Phishing-E-Mails an andere Mitarbeiter zu senden. Da die Phishing-E-Mail von einem legitimen E-Mail-Konto stammt, ist es wahrscheinlicher, dass die Zielpersonen darauf hereinfallen.

Betriebssystem-Exploits

Angreifer, die Berechtigungseskalation einsetzen, nutzen häufig die Schwachstellen bestimmter Betriebssysteme aus. Microsoft Windows und Linux sind aufgrund ihrer weiten Verbreitung und komplexen Berechtigungsstrukturen beliebte Ziele.

Berechtigungseskalation unter Linux

Angreifer studieren häufig den Open-Source-Code von Linux, um nach Möglichkeiten zu suchen, Angriffe zur Berechtigungseskalation durchzuführen.

Ein häufiges Ziel ist das Linux-Programm Sudo, mit dem Administratoren Basisbenutzern vorübergehend administrative Berechtigungen gewähren. Wenn sich ein Angreifer in ein einfaches Benutzerkonto mit Sudo-Zugriff hackt, erhält er auch diese Rechte. Sie können dann ihre erhöhten Sicherheitsrechte ausnutzen, um bösartige Befehle auszuführen.

Eine andere Technik ist die Verwendung von Aufzählungen, um auf Linux-Benutzernamen zuzugreifen. Angreifer verschaffen sich zunächst Zugriff auf die Shell des Linux-Systems, in der Regel über einen falsch konfigurierten FTP-Server. Anschließend geben sie Befehle aus, die alle Benutzer im System auflisten oder „auflisten“. Mit einer Liste von Benutzernamen können die Angreifer Brute-Force- oder andere Methoden anwenden, um die Kontrolle über die einzelnen Konten zu übernehmen. 

Berechtigungseskalation unter Windows

Da Windows von Unternehmen weit verbreitet ist, ist es ein beliebtes Ziel für Berechtigungseskalationen.

Ein gängiger Ansatz besteht darin, die Windows-Benutzerkontensteuerung (UAC) zu umgehen. Die Benutzerkontensteuerung bestimmt, ob ein Benutzer Zugriff auf Standard- oder Administratorberechtigungen hat. Wenn die UAC nicht über ein hohes Schutzniveau verfügt, können Angreifer bestimmte Befehle ausgeben, um sie zu umgehen. Die Angreifer können dann auf Root-Berechtigungen zugreifen.

Das Hijacking von Dynamic Link Library (DLL) ist ein weiterer Windows-Angriffsvektor. Eine DLL ist eine Datei, die Code enthält, der von mehreren Systemressourcen gleichzeitig verwendet wird.

Angreifer platzieren zunächst eine infizierte Datei im selben Verzeichnis wie die legitime DLL. Wenn ein Programm nach der echten DLL sucht, ruft es stattdessen die Datei des Angreifers auf. Die infizierte Datei führt dann einen bösartigen Code aus, der dem Angreifer hilft, seine Berechtigungen zu erweitern.

Berechtigungseskalation verhindern

Eine Zero-Trust-Haltung, die davon ausgeht, dass jeder Benutzer eine potenzielle Cyberbedrohung darstellt, kann dazu beitragen, das Risiko einer Berechtigungseskalation zu mindern. Weitere gängige Sicherheitskontrollen zum Verhindern und Erkennen von Berechtigungseskalation sind:

  • Starke Passwörter
  • Patch-Management
  • Least-Privilege-Prinzip
  • Mehrfaktorauthentifizierung (MFA)
  • Schutz von Endgeräten
  • Analyse des Benutzerverhaltens
Starke Passwörter 

Starke Passwörter erschweren es Hackern, Brute-Force- oder ähnliche Methoden zu verwenden, um Kontopasswörter zu erraten oder zu knacken. 

Patch-Management

Beim Patch-Management werden von Anbietern herausgegebene Updates angewendet, um Sicherheitslücken zu schließen und die Leistung von Software und Geräten zu optimieren.

Viele Beispiele für die Berechtigungseskalation lassen sich leicht verhindern, indem Patches rechtzeitig installiert und Sicherheitslücken geschlossen werden, bevor Angreifer sie ausnutzen können. 

Least-Privilege-Prinzip 

Das Least-Privilege-Prinzip besagt, dass Benutzer nur den für ihre Rolle erforderlichen Mindestzugriff erhalten sollten. Dieser Ansatz hilft Unternehmen, privilegierte Konten vor identitätsbasierten Angriffen wie der Berechtigungseskalation zu schützen. Außerdem wird die Anzahl der berechtigten Benutzer und Konten reduziert, indem die Zugriffskontrollen verschärft werden, sodass es für Hacker weniger Möglichkeiten gibt, in das System einzudringen.

Mehrfaktorauthentifizierung (MFA)

Multi-Faktor-Authentifizierung (MFA) ist eine Methode zur Identitätsüberprüfung, bei der ein Benutzer mindestens zwei Nachweise erbringen muss, um seine Identität zu belegen.

Selbst wenn es Hackern gelingt, die Zugangsdaten von Benutzern zu stehlen, kann diese Vorgehensweise dazu beitragen, eine Eskalation von Berechtigungen zu verhindern, indem sie eine weitere Sicherheitsebene hinzufügt. Bei der MFA gewähren gestohlene Passwörter allein keinen Zugriff auf geschützte Konten.

Schutz von Endgeräten

Endpoint Security-Tools, wie Endpoint Detection and Response (EDR) -Lösungen, können dabei helfen, die ersten Anzeichen eines Angriffs durch Eskalation von Berechtigungen zu erkennen. Wenn Angreifer die Kontrolle über Benutzerkonten übernehmen, verhalten sie sich in der Regel anders als echte Benutzer. EDRs und ähnliche Tools können anomale Aktivitäten auf Endgeräten erkennen und sie markieren oder direkt eingreifen.

Analyse des Benutzerverhaltens

Die Analyse der Benutzeraktivitäten mit Tools wie User and Entity Behavior Analytics (UEBA) kann Unternehmen helfen, abnormales Verhalten zu erkennen, das auf Versuche zur Berechtigungseskalation hinweisen könnte. Ungewöhnlich hohe Anmeldevolumina, Anmeldungen, die spät in der Nacht stattfinden, Benutzer, die auf unerwartete Geräte oder Anwendungen zugreifen, oder ein Anstieg von fehlgeschlagenen Anmeldungen können allesamt Anzeichen für eine Berechtigungseskalation sein.

Weiterführende Lösungen
IBM Verify Privilege

Erkennen, kontrollieren, verwalten und schützen Sie privilegierte Konten auf Endgeräten und in hybriden Multi-Cloud-Umgebungen mit IBM Verify Privilege.

IBM Verify Privilege erkunden
IBM X-Force Red Penetrationsprüfungsservices

Erfahren Sie mehr über X-Force Red Penetrationstestservices des globalen Hackerteams von IBM, das Sicherheitstests aus der Hackerperspektive bereitstellt.

    Penetrationsprüfungen erkunden
    Sicherheitslösungen für Unternehmen

    Ganz gleich, ob Sie nach Lösungen für Datensicherheit, Endpunktmanagement oder Identitäts- und Zugriffsverwaltung (IAM) suchen – unsere Experten helfen Ihnen bei der Etablierung eines zuverlässigen Sicherheitsstatus.

    Sicherheitslösungen für Unternehmen erkunden
    Machen Sie den nächsten Schritt

    Erkennen, kontrollieren, verwalten und schützen Sie privilegierte Konten auf Endgeräten und in hybriden Multi-Cloud-Umgebungen

    IBM Verify Privilege erkunden Buchen Sie eine Live-Demo